CN108604990A - 终端中本地授权凭证的使用方法及装置 - Google Patents
终端中本地授权凭证的使用方法及装置 Download PDFInfo
- Publication number
- CN108604990A CN108604990A CN201780009062.0A CN201780009062A CN108604990A CN 108604990 A CN108604990 A CN 108604990A CN 201780009062 A CN201780009062 A CN 201780009062A CN 108604990 A CN108604990 A CN 108604990A
- Authority
- CN
- China
- Prior art keywords
- terminal
- service
- local
- authorized certificate
- local authorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种终端中本地授权凭证的使用方法及装置,该方法包括:在终端接收到业务请求时,获取终端中的本地授权凭证,业务请求要求提供终端合法性证明,本地授权凭证是由认证中心授权并保存在终端中能够提供终端合法性证明的凭证;终端根据本地授权凭证以及业务请求,生成并发送与业务请求对应的业务响应,该业务响应包含终端合法性证明。实施本发明实施例,可以提高业务请求处理的效率。
Description
本申请要求于2016年12月02日提交中国专利局、申请号为201611097424.X发明名称为“一种业务注册方法和终端”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
本发明涉及通信技术领域,尤其涉及一种终端中本地授权凭证的使用方法及装置。
在统一身份认证体系中,认证中心是用于认证终端身份,与具体业务无关的第三方权威机构,认证中心的服务器通常放在公网中供认证服务器调用,这种跨域调用的方式对于银行等金融领域的IT系统是无法实施的。因此,为解开认证服务器与认证中心的依赖关系,目前终端在接收到应用的业务注册请求时,在验证业务注册请求来自合法服务器之后,需要去认证中心申请进行终端的合法性检测,以向服务器证明业务注册响应来自合法终端。在进行终端的合法性检测时,终端通过使用出厂时预置的原始设备制造商(英文:original equipment manufacturer,OEM)厂商私钥对业务注册请求进行签名,通过认证中心公钥加密生成业务注册响应数据包,并把业务注册响应数据包发送给认证中心进行终端的合法性检测。认证中心解密业务注册响应数据包,通过验证其中的OEM厂商私钥生成的签名数据来验证终端的合法性,并将验证结果进行加密,经过认证客户端发送给认证服务器,认证服务器解密得到验证结果,并根据验证结果执行后续业务逻辑。
然而,现有的终端对业务注册请求处理过程中,需要对生成并注册业务公钥的终端进行合法性检测,由于不同应用业务相互独立,终端对应生成的业务密钥对不具有通用性,以致对每个应用的业务注册请求进行处理时,应用提供方均需要验证生成业务密钥对的终端的合法性,在同一终端中不同的应用进行业务注册请求处理时,已经进行过合法性检测的终端,仍需在响应每个业务注册请求时,重复地去认证中心进行终端的合法性检测,从而增大了终端的资源消耗,延长了业务请求处理时间,以致降低了业务注册请求处理的效率。
发明内容
本发明实施例公开了一种终端中本地授权凭证的使用方法及设备,用于提高业务请求处理的效率。
第一方面公开了一种终端中本地授权凭证的使用方法,终端接收到业务请求时,获取终端中的本地授权凭证,该业务请求要求提供终端合法性证明,所述本地授权凭证是由所述认证中心授权并保存在所述终端中,能够提供所述终端合法性证明的凭证;终端根据本地授权凭证以及业务请求,生成并发送与业务请求对应的业务响应,业务响应包含终端合法性证明,可见,认证中心下发用于提供终端合法性证明的凭证给终端,使终端可以在本地提供终端合法性证明,无需每次响应要求提供终端合法性证明的业务请求时均去认证中心进行终端合法性的检测,从而可以减小终端的资源消耗,缩短业务操作时间,可以提高业务请求处理的效率。
在一个实施例中,终端合法性证明包含使用本地授权私钥生成的签名信息和本地授权凭证,本地授权私钥为终端在向所述认证中心发送用于获取本地授权凭证的请求信息之前生成并保存在本地的,可以在终端本地提供终端合法性证明的同时,向认证服务器证明业务响应发送方即所述终端的身份,从而提高了安全性。
在一个实施例中,业务请求为业务注册请求和业务执行请求中的一种,当业务请求为业务注册请求时,业务响应还包括业务公钥,当业务请求为业务执行请求时,业务响应还包括使用业务私钥生成的签名信息,业务公钥和业务私钥为终端接收到业务执行请求对应的业务注册请求时生成的,使用业务私钥生成的签名信息用于证明业务执行响应是由发送业务注册响应的终端发送的,业务执行响应为业务执行请求对应的业务响应,业务注册响应为业务注册请求对应的业务响应,在业务注册请求阶段生成业务密钥对,在业务执行阶段可以通过使用业务私钥进行签名来证明终端许可本次的业务执行,从而可以提高业务的安全性。业务服务器可以选择在业务执行时也要求提供终端合法性证明,并设置业务类型要求,可以减小业务执行时始终信任终端在注册阶段提供的终端合法性证明带来的风险,从而可以提高业务执行的安全性。
在一个实施例中,如果终端内存在第一本地授权凭证,且第一本地授权凭证在有效期内,且第一本地授权凭证满足业务请求的业务类型要求,使用第一本地授权凭证构造终端合法性证明,以生成业务请求对应的业务响应,所述业务响应包含终端合法性证明,并发送业务响应,可见,业务服务器可以根据业务不同自行设置业务类型要求,以增强对业务风险的控制;终端检测本地保存的本地授权凭证满足业务类型要求后再生成包含终端合法性证明业务响应,可以降低风险发生的概率,提高业务的安全性。
在一个实施例中,业务请求包含业务类型要求,业务类型要求包含风险管理要求,风险管理要求为业务服务器针对第一本地授权凭证生成的,业务请求为业务服务器发送的。
在一个实施例中,如果终端内不存在第一本地授权凭证,或如果终端内的第一本地授权凭证超出有效期,或如果第一本地授权凭证不满足业务请求的业务类型要求,终端向认证中心发送用于获取第二本地授权凭证的请求信息,以使认证中心生成第二本地授权凭证;终端接收并保存第二本地授权凭证;终端使用第二本地授权凭证构造业务请求对应的业务响应,并发送业务响应。本地授权凭证需要同时满足有效期、业务类型要求时才可以用来构造业务响应,从而可以提高业务的安全性。
在一个实施例中,用于获取第二本地授权凭证的请求信息包括设备信息或设备身份信息中的至少一种,使用原始设备制造商生成的签名,本地授权公钥,以使认证中心根据所述设备信息或所述设备身份信息查找存储的原始设备制造商公钥验证原始设备制造商签名,生成第二本地授权凭证,本地授权公钥为本地授权私钥对应的公钥,所述设备信息和所述设备身份信息为认证中心在接收到第二本地授权凭证的请求信息时,要求终端提供的信息,或者认证中心预先与终端协商的信息。
在一个实施例中,第一本地授权凭证和第二本地授权凭证包括有效期、本地授权公钥和使用认证中心私钥生成的签名信息,认证中心私钥为认证中心生成并保存用于生成本地授权凭证的,认证服务器在进行业务响应验证时,根据保存的认证中心公钥验证本地授权凭证,根据本地授权凭证验证业务响应中包含的终端合法性证明,从而可以提高业务执行
的安全性。
在一个实施例中,第一本地授权凭证和所述第二本地授权凭证还包括凭证安全等级,所述凭证安全等级为所述认证中心根据所述设备信息确定的,所述凭证安全等级为所述业务类型要求的一种,针对本地授权凭证划分的不同安全等级,业务服务器根据业务的安全需求,设置相应的业务类型要求,使终端提供满足其业务类型要求的终端合法性证明,从而可以提高业务执行的安全性。
在一个实施例中,本地授权公钥为所述终端在向所述认证中心发送用于获取所述第一本地授权凭证的请求信息之前生成并保存在本地的,或者所述终端在向所述认证中心发送用于获取所述第二本地授权凭证的请求信息之前生成并保存在本地的。
在一个实施例中,有效期为所述认证中心根据所述设备的安全等级确定的,所述设备的安全等级由所述设备信息确定的,所述设备信息为所述终端向所述认证中心发送的用于获取所述第一本地授权凭证的或者所述第二本地授权凭证请求信息中携带的,或者,所述设备信息为所述认证中心根据设备身份信息在数据库中查找的,所述设备身份信息为所述终端向所述认证中心发送的用于获取所述第一本地授权凭证或者所述第二本地授权凭证的请求信息中携带的。业务服务器可以针对有效期设立一种业务类型要求,从而可以在本地提供终端合法性的同时,使终端按照业务服务器要求,提供满足其业务类型要求的终端合法性证明,从而可以提高业务执行的安全性。
在一个实施例中,终端可以检测业务请求中是否包含用于指示提供终端合法性证明的指示信息,如果业务请求中包含所述用于指示提供终端合法性证明的指示信息,获取终端中的本地授权凭证,检查通过后构造所述终端合法性证明。通过根据指示信息设立的提供终端合法性证明的触发机制,在业务执行阶段也可以实现对终端存在的风险进行管控,而不是始终信任终端在业务注册阶段提供的合法性证明,可以提高业务执行的安全性。
在一个实施例中,指示信息为根据至少一个预设字段确定的或者根据所述业务类型要求中的至少一个字段确定的。
第二方面公开了一种本地授权凭证的使用装置,该装置包括用于执行第一方面或第一方面的任一种可能实现方式所提供的终端中本地授权凭证的使用方法的模块。
第三方面公开了一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行第一方面或第一方面的任一种可能实现方式所提供的终端中本地授权凭证的使用方法。
第四方面公开了一种一种终端,包括:处理器,存储器,通信接口和总线;处理器、通信接口、存储器通过所述总线相互的通信;所述通信接口,用于接收和发送数据;所述存储器,用于存储指令;所述处理器,用于调用所述存储器中的指令,执行第一方面或第一方面的任一种可能实现方式所提供的终端中本地授权凭证的使用方法。
图1是本发明实施例公开的一种系统架构示意图;
图2是本发明实施例公开的一种终端中本地授权凭证的使用方法的流程示意图;
图3是本发明实施例公开的一种本地授权凭证的生成方法的流程示意图;
图4是本发明实施例公开的另一种终端中本地授权凭证的使用方法的流程示意图;
图5是本发明实施例公开的一种本地授权凭证的使用装置的结构示意图;
图6是本发明实施例公开的一种运行上述终端中本地授权凭证的使用方法的终端的结构示意图。
本发明实施例公开了一种终端中本地授权凭证的使用方法及装置,用于减小终端资源消耗,提高业务请求处理的效率。以下分别进行详细说明。
为了更好地理解本发明实施例公开的一种终端中本地授权凭证的使用方法及装置,下面先对本发明实施例使用的系统架构进行描述。该系统架构为一种统一身份认证体系,请参阅图1,图1是本发明实施例公开的一种系统架构示意图。如图1所示,该系统可以包括终端101、应用服务器102和认证中心103。其中,终端101中可以运行应用客户端1011、统一身份认证客户端1012和统一身份认证可信应用1013,应用客户端1011为终端侧实现用户业务的主体,统一身份认证客户端1012是终端侧实现统一身份认证功能的实体,可以为终端上兼容的多个应用客户端提供服务,并负责与认证中心103进行通信,统一身份认证可信应用1013为统一身份认证客户端1012提供支持,可以访问安全存储环境中预置证书吊销列表(英文:crtificate revoke list,CRL)和需要在终端侧安全保存的密钥,应用服务器102可以包括业务服务器1021和业务服务器对应的认证服务器1022,认证服务器1022为统一身份认证协议在应用服务器端的执行者,可以部署在业务服务器1021上,配合业务服务器1021服务,也可以独立部署一台服务器,认证中心103可以提供终端合法性检测,为统一身份认证平台的一部分,所述统一身份认证平台还包括统一身份认证平台根CA(certificate authority)。其中,认证中心103中预存有认证中心私钥和认证中心认可的原始设备制造商公钥,认证服务器1022中保存有统一身份认证平台根CA签发的认证服务器证书、认证服务器私钥和认证中心预先下发的认证中心公钥,统一身份认证可信应用1013中预存有原始设备制造商私钥、统一身份认证平台根CA的根证书和认证中心公钥。
终端通过统一身份认证客户端1012向认证中心103发起本地授权凭证的申请,认证中心103作出响应,生成本地授权凭证,并将本地授权凭证发送给终端101,用于使终端101在本地提供所述终端101合法性证明。用户可以通过应用客户端1011向业务服务器1021发起业务,可以是注册业务,也可以是执行业务。当业务服务器1021通过认证服务器1022来执行统一身份认证协议中定义的业务流程,将认证服务器证书和使用认证服务器私钥生成的的签名信息加入对应的业务请求中,发送给应用客户端1011,应用客户端1011通过调用统一身份认证客户端1012来进行相应的业务处理。统一身份认证可信应用1013在对认证服务器1022身份的验证通过后,若业务服务器1021在业务请求中要求终端101提供所述终端101合法性证明,则通过认证中心103生成并保存在终端101的本地授权凭证构造业务请求对应的包含所述终端101合法性证明的业务响应,并将所述业务响应发送给认证服务器1022,认
证服务器1022对业务响应进行验证,获得验证结果,并将验证结果通知业务服务器1021,使业务服务器1021根据验证结果执行相应的业务逻辑。
终端101可以为可移动的用户设备(英文:User Equipment,UE)、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(英文:Session Initiation Protocol,SIP)电话、无线本地环路(英文:Wireless Local Loop,WLL)站、个人数字处理(英文:Personal Digital Assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备,未来5G网络中的终端或者未来演进的PLMN网络中的终端等。应用客户端1011可以为各类应用客户端,统一身份认证客户端1012负责与应用客户端1011、运行在安全环境中的统一身份认证可信应用1013可以和认证中心交互。
基于图1所示的系统架构,请参阅图2,图2是本发明实施例公开的一种终端中本地授权凭证的使用方法的流程示意图,其中,该终端中本地授权凭证的使用方法是从终端101、业务服务器1021和认证服务器1022的角度来描述的。如图2所示,该终端中本地授权凭证的使用方法可以包含以下步骤。
S201、终端接收到业务请求。
具体地,业务请求为业务服务器发送的,业务请求可以包含业务注册请求和业务执行请求,例如在指纹验证场景下,业务注册请求即要求终端按照应用服务器根据统一身份认证协议开发的指定流程(后文简称“指定流程”)开通指纹验证功能的请求,业务执行请求对应要求终端在已完成指纹验证业务注册的情况下按指定流程进行指纹验证的过程。
该业务请求的目的至少分为两方面,第一方面要求终端进行业务相关流程,即执行使用业务私钥生成签名信息及后续步骤,另一方面要求终端提供该终端合法性证明。
在一个实施例中,如果所述业务请求中包含用于指示提供终端合法性证明的指示信息,执行步骤S202。
具体地,所述指示终端提供合法性证明的指示信息为所述业务服务器生成的,所述终端根据所述指示信息确定所述业务请求要求提供终端合法性证明。当所述业务请求为业务注册请求时,由于注册业务是需要进行终端合法性验证的,业务注册请求中会包含该指示信息。终端根据该指示信息,确定需要提供终端合法性证明,比如根据终端与业务服务器约定的一个或多个用于指示提供终端合法性证明的字段,也可以是与业务注册相关的部分或全部信息,例如根据业务请求是业务注册请求,确定需要提供终端合法性证明,或是根据业务注册请求中存在用于进行风险管理要求的参数,确定需要提供终端合法性证明,也可以是根据其他与终端合法性证明相关的字段确定,本实施例不作限定。
当业务请求为业务执行请求时,业务服务器响应应用客户端发起业务执行的申请,在通过认证服务器生成业务执行请求时,可以根据业务自身需求,例如业务的敏感程度,业务的安全需求等,决定是否需要终端提供终端合法性证明。当需要时,在发送给终端的业务请求中要求该终端提供该终端合法性证明,即包含所述指示提供终端合法性证明的指示信息。终端在根据所述指示信息确定需要提供终端合法性证明时,才会获取所述终端中的本地授权凭证,并构造终端合法性证明。
其中,所述业务请求还可以包含认证服务器挑战(challenge)信息,所述业务请求可以是业务注册请求,也可以是业务执行请求,所述challenge信息为所述认证服务器内部产生一个随机数,为了保证业务请求是实时的,防止重放攻击,在终端返回给认证服务器业务响应后验证业务响应中的challenge信息来确认是本次业务。
S202、所述终端获取本地授权凭证。
具体地,该本地授权凭证是由认证中心授权并保存在终端中能够提供终端合法性证明的凭证。当业务请求要求提供终端合法性证明时,终端获取本地保存的该本地授权凭证,用于在本地构造包含终端合法性证明的业务响应。
认证中心作为一个联盟共享的公共域服务器,是一个认证终端身份的第三方权威机构。为避免业务服务器要求提供终端合法性证明时,该终端每次均需要去认证中心造成的业务执行效率低的问题,认证中心在响应终端发送的用于获取所述本地授权凭证的请求,验证所述终端合法性后,生成该终端对应的本地授权凭证,用以证明认证中心授权所述终端在本地生成所述终端合法性证明,并将该本地授权凭证发送给该终端,该终端将该本地授权凭证保存在本地。
为保证本地授权凭证的安全性,可以将本地授权凭证保存在终端的安全储存环境中,例如可信执行环境(英文:trusted execution environment,TEE)或者安全模块(英文:secure element,SE)中,或者其他可能的安全存储环境中。
在一个实施例中,终端合法性证明包含使用本地授权私钥生成的签名信息和本地授权凭证,所述本地授权私钥为所述终端在向所述认证中心发送用于获取所述本地授权凭证的请求信息之前生成并保存在本地的。
具体地,本地保存的本地授权凭证是用于证明所述终端通过认证中心的终端合法性检测,并被授权在本地生成终端合法性证明的,因此,终端合法性证明包含所述本地授权凭证。在生成终端合法性证明时,使用保存的所述本地授权私钥生成签名信息,配合所述本地授权凭证,就可以使认证服务器根据认证中心公钥验证所述本地授权凭证,确定所述终端具备在本地生成终端合法性证明的权限,进而可以根据本地授权凭证中的本地授权公钥,验证终端使用该本地授权私钥生成的签名信息,确定所述终端合法性。另一方面,在终端向认证中心发送所述用于获取本地授权凭证的请求信息之前,终端生成本地授权非对称密钥对,并将本地授权私钥保存在本地,将本地授权公钥作为所述请求信息中的元素,用于使所述认证中心生成所述本地授权凭证。
为了保证本地授权私钥的安全性,可以将本地授权私钥保存在终端的安全储存环境中,例如TEE或者SE中,或者其他可能的安全存储环境中。
S203、终端根据本地授权凭证以及业务请求,生成所述业务请求对应的业务响应。
具体地,该业务响应包含所述终端合法性证明。其中,所述业务响应是发送给所述认证服务器的,认证服务器可以根据接收到的业务响应,对响应中包含的终端合法性证明进行验证,并获取验证结果。
在一个实施例中,业务请求为业务注册请求和业务执行请求中的一种,当所述业务请求为所述业务注册请求时,所述业务响应还包括业务公钥,当所述业务请求为所述业务执行请求时,所述业务响应还包括使用业务私钥生成的签名信息,所述业务公钥和所述业务
私钥为所述终端接收到所述业务执行请求对应的业务注册请求时生成的,所述使用业务私钥生成的签名信息用于证明业务执行响应是由发送业务注册响应的所述终端发送的,所述业务执行响应为所述业务执行请求对应的业务响应,所述业务注册响应为所述业务注册请求对应的业务响应。
具体地,当业务请求为请求终端执行业务注册指定流程时,如指纹服务或数字证书服务的开通流程,该业务请求为业务注册请求,终端对认证服务器的身份验证通过后,即生成该业务对应的非对称业务密钥对,并将业务私钥存储在安全存储环境中,将业务公钥作为业务注册请求对应的业务注册响应中的元素,当业务请求为请求执行业务时,如指纹验证或进行数字签名,业务响应还包括使用业务私钥生成的签名信息。将业务执行响应发送给认证服务器后,认证服务器通过之前业务注册响应中包含的业务公钥或者业务执行响应中包含的业务公钥,验证业务私钥生成的签名信息来确认该终端许可本次业务执行。
在一个实施例中,如果所述终端内存在第一本地授权凭证,且所述第一本地授权凭证在有效期内,且所述第一本地授权凭证满足所述业务请求的业务类型要求,使用所述第一本地授权凭证构造所述终端合法性证明,以生成所述业务请求对应的业务响应,并发送所述业务响应。
具体地,所述业务类型要求为业务服务器根据自身业务需求生成的。
对于获取到本地授权凭证的终端,需要判断对于本次业务能否使用所述本地授权凭证来构造所述终端合法性证明。终端首先检查获取的本地授权凭证是否在有效期内,来判断当前的所述本地授权凭证是否有效;对于在有效期内的凭证,进一步根据业务请求中包含的业务类型要求来判断使用当前凭证构造的所述终端合法性证明能否满足根据业务自身需求生成的业务类型要求,如果可以,则使用所述第一本地授权凭证构造所述终端合法性证明,并将所述终端合法性证明包含在业务响应中。
在一个实施例中,业务请求包含所述业务类型要求,所述业务类型要求包含风险管理要求,所述风险管理要求为业务服务器针对所述第一本地授权凭证生成的,用于确保终端根据所述第一本地授权凭证提供的终端合法性证明满足业务的安全需求,所述业务请求为所述业务服务器发送的。
本实施例中,业务类型要求为业务服务器生成的,业务服务器可以根据业务自身的业务需求设立不同的业务类型要求,例如,可以根据业务的敏感程度、业务的安全需求等,如是否涉及到钱款交易、涉及到的钱款交易的金额等划分不同的等级,例如,业务服务器可以将不同的业务执行请求按照业务的敏感程度或者业务的安全等级进行分类,并为不同类别的业务分配不同的业务类型要求。另一方面,业务类型要求可以包含风险管理要求,也可以包含其他要求,如应用客户端版本要求等,所述风险管理要求包含风险管理参数和风险管理阈值,风险管理要求是针对所述本地授权凭证中的参数类型生成的,可以是有效期、凭证的安全等级等。
例如,本地授权凭证中可以包含有效期、凭证的安全等级等中的至少一种,凭证的安全等级可以是认证中心根据设备信息对应的设备的安全等级确定的,如设备的存储环境的类型,一般地,凭证的安全等级越高,当前保存的本地授权凭证可信度越高。
例如,如表1所示,表1为业务服务器根据业务执行请求类型确定业务类型要求示例一,
该业务类型要求中的风险管理要求是针对所述本地授权凭证中的有效期这一参数生成的,该业务以指纹业务执行请求为例,第一列表示不同的业务执行请求,业务的安全需求由上到下依次增加,该安全需求可以是根据是否涉及到钱款交易、涉及到的钱款交易的金额、业务服务器风险管理系统对当前交易的风险分析结果等因素中的至少一种划分的。服务器可以检测交易金额是否大于预设阈值,将交易划分为大、小额支付,则由上到下对于业务类型要求逐步增高,业务类型要求中的风险管理要求也由上到下逐步增高,即要求逐步严格。具体地,指纹登录客户端不涉及钱款交易,因此,业务服务器可以不设置风险管理要求,仅根据需求在业务类型要求中进行应用客户端版本要求;而小额指纹支付中涉及到小额钱款交易,可设立风险管理要求为3月内生成的本地授权凭证有效,或者对于在有效期内的凭证,凭证本身的有效期长度为3个月以上的凭证有效,业务类型要求可进一步要求应用客户端版本,也可包含其他业务类型要求;对于大额指纹支付,可设立风险管理要求为1月内生成的本地授权凭证有效,或者,对于在有效期内的凭证,凭证有效期长度为6个月以上的凭证有效,也可进行其他业务类型要求,如应用客户端版本。另外,也可以根据服务器的风险管理系统对当前交易进行风险分析,识别是否是不符合用户交易习惯的异常交易,并根据对交易的风险管理结果来设置相应的风险管理要求。另也可视具体情况,根据业务需要设定风险管理要求和应用客户端版本要求以外的业务类型要求,也可视业务执行请求具体情况设立其他业务执行请求类型,本实施例不作限定。
表1业务服务器根据业务执行请求类型确定业务类型要求示例一
再例如,如表2所示,表2为业务服务器根据业务执行请求类型确定业务类型要求示例二,该业务类型要求中的风险管理要求是业务服务器针对所述本地授权凭证中的有效期和凭证安全等级这两个参数生成的,所述本地授权凭证还包含凭证的安全等级,所以在表1的基础上,表2中的风险管理要求也相应增加了服务器针对凭证的安全等级设立的风险管理阈值,从而生成相应的业务类型要求和风险管理要求。
终端在接收到所述业务请求,获取终端本地保存的本地授权凭证并确认凭证在有效期内之后,接着根据业务请求中的业务类型和/或本地授权凭证,确定终端合法性证明需要满
足怎样的业务类型要求,进一步根据本地授权凭证判断该本地授权凭证能否满足业务风险管理要求。如在表2小额指纹支付场景下,如终端中当前保存的本地授权凭证的等级为2级,按照风险管理要求,该终端需使用在3日内生成的本地授权凭证才能满足业务的类型要求;终端进一步检测该本地授权凭证是否为3日内生成的,若是,则表明该本地授权凭证满足风险管理要求,之后再判定是否满足风险管理要求以外的业务类型要求,若该本地授权凭证是5日前生成的,则表明该本地授权凭证不满足风险管理要求。
表2业务服务器根据业务执行请求类型确定业务类型要求示例二
其中,业务类型要求也可以是由业务服务器预先下发到应用客户端,在接收到业务请求时,将保存的业务类型要求和业务请求交给统一身份认证客户端进行验证。
在一个实施例中,如果所述终端内不存在第一本地授权凭证,或如果所述终端内的所述第一本地授权凭证超出有效期,或如果所述第一本地授权凭证不满足所述业务请求的业务类型要求,所述终端向所述认证中心发送用于获取第二本地授权凭证的请求信息,以使所述认证中心生成所述第二本地授权凭证;
所述终端接收并保存所述第二本地授权凭证;
所述终端使用所述第二本地授权凭证构造所述业务请求对应的业务响应,并发送所述业务响应。
具体地,当终端中不存在本地授权凭证,或者,已存在的本地授权凭证已经过期,或者,已存在的本地授权凭证不能满足业务服务器要求的业务类型要求,则表明本地不存在本地授权凭证或者存在的本地授权凭证不能用于在本地构造业务要求对应的业务响应,需要重新去认证中心申请新的本地授权凭证,即第二本地授权凭证。
在一个实施例中,所述用于获取第二本地授权凭证的请求信息包括使用原始设备制造商私钥生成的签名信息,设备信息或设备身份信息中的至少一种,本地授权公钥,以使所述认证中心根据所述设备信息或所述设备身份信息查找存储的原始设备制造商公钥验证所述使用原始设备制造商私钥生成的签名信息,生成所述第二本地授权凭证,所述本地授权公钥为所述本地授权私钥对应的公钥,所述设备信息和所述设备身份信息为所述认证中心在接收到所述第二本地授权凭证的请求信息时,要求所述终端提供的信息,或者所述认证中心预先与所述终端协商的信息。
具体地,终端中的安全储存环境中可以预置原始设备制造商的私钥,而认证中心保存有信任的原始设备制造商的公钥,第二本地授权凭证的请求信息中包含的使用原始设备制造商私钥生成的签名信息,用于使认证中心提取保存的原始设备制造商公钥对使用原始设备制造商私钥生成的签名信息进行验证,来检测终端的合法性,验证终端的身份后,认证中心才会生成该终端的本地授权凭证。另一方面,认证中心提取保存的原始设备制造商私钥可以是通过设备身份信息查找的,所述设备身份信息可以包括终端的设备ID、厂商标识、设备型号等中的至少一种。
其中,认证中心要求所述终端提供的设备信息和设备身份信息之前,还可以对本地授权公私钥对的密钥规格,如长度、密码算法等进行要求。
在一个实施例中,第一本地授权凭证和所述第二本地授权凭证包括有效期、所述本地授权公钥和使用认证中心私钥生成的签名信息,所述认证中心私钥为所述认证中心生成并保存在所述认证中心本地的,所述认证中心私钥用于生成所述本地授权凭证。
具体地,本地授权凭证是否在有效期内的判断中的有效期是包含在本地授权凭证中的,本地授权公钥是本地授权私钥对应的公钥,用于对在后续业务请求对应的业务响应中包含的使用本地授权私钥生成的签名信息进行验证;而使用认证中心私钥生成的签名信息,用于证明本地授权凭证为认证中心下发的,即认证中心认可该终端在本地提供终端合法性证明。
具体地,所述设备信息可以是终端发送给认证中心的用于获取本地授权凭证的请求信息中携带的,另一方面,若本地授权凭证的请求信息中携带的为设备身份信息,如仅包含设备ID或其他标识信息如厂商、型号等,则也可以通过以上设备身份信息在认证中心预置的数据库中查找对应的设备储存环境等设备信息,并根据设备储存环境等设备信息确定设备的安全等级,进而确定所述有效期和/或凭证的安全等级。例如,认证中心可以设立一套基于终端设备信息的风险评估体系,根据所述终端设备信息,主要是终端的储存环境,确定该终端的安全分,该安全分可以用来确定本地授权凭证的有效期。
在一个实施例中,第一本地授权凭证和所述第二本地授权凭证还包括凭证安全等级,所述凭证安全等级为所述认证中心根据所述设备信息确定的,所述凭证安全等级为所述业务类型要求的一种。
例如,如表3所示,表3为认证中心根据设备信息生成的设备安全等级评估体系示例。第一列表示终端不同的存储环境类型,包含REE(rich execution environment)/TEE/SE等,根据不同类型存储环境的安全等级确定对应的信用分,信用分对应了认证中心评估的对应设备的安全等级,认证中心根据信用分来确定生成的本地授权凭证的有效期和本地授权凭证的安全等级等。更进一步,也可以使业务服务器侧能够针对本地授权凭证中的参数设立风险管理要求,来确保终端使用本地保存的本地授权凭证构造的终端合法性证明满足其业务管理要求。
其中,所述设备的安全等级可以是根据储存环境为REE/TEE/SE来进行划分,也可以是根据SE是否达到专业等级检测要求(如金融级、军事级),或者SE、TEE是否有权威检测机构认证证书等来进一步细分。另一方面,认证中心也可以根据与各个厂商的合作关系,结合厂商的实力和信用,进行信用分、有效期和凭证安全等级等的划分,本实施例不作限定。
表3认证中心根据设备信息生成的设备安全等级评估体系示例
| 存储环境类型 | 信用分(总分5分) | 有效期 | 凭证安全等级 | …… |
| REE | 1分 | 使用一次 | 1(最低) | …… |
| TEE | 2分 | 3个月 | 2(中低) | …… |
| SE | 4分 | 1年 | 3(较高) | …… |
| …… | …… | …… | …… | …… |
在一个实施例中,本地授权公钥为所述终端在向所述认证中心发送用于获取所述第一本地授权凭证的请求信息之前生成并保存在本地的,或者所述终端在向所述认证中心发送用于获取所述第二本地授权凭证的请求信息之前生成并保存在本地的。
具体地,在进行终端中的本地授权凭证更新,即从认证中心处获取所述第二本地授权凭证时,本地授权公钥可以是原先生成本地授权凭证时生成的,也可以是生成新的本地授权凭证时,重新生成的本地授权公钥,本实施例不作限定。
在一个实施例中,有效期为所述认证中心根据所述设备的安全等级确定的,所述设备的安全等级由所述设备信息确定的,所述设备信息为所述终端向所述认证中心发送的用于获取所述第一本地授权凭证的或者所述第二本地授权凭证请求信息中携带的,或者,所述设备信息为所述认证中心根据设备身份信息在数据库中查找的,所述设备身份信息为所述终端向所述认证中心发送的用于获取所述第一本地授权凭证或者所述第二本地授权凭证的请求信息中携带的。
S204、终端发送所述业务响应。
具体地,终端将业务请求对应的业务响应发送给认证服务器,所述认证服务器保存有认证中心公钥,通过认证中心公钥来验证本地授权凭证中的使用认证中心私钥生成的签名信息,通过本地授权凭证中的本地授权公钥验证业务响应中的本地授权私钥生成的签名信息,得到终端合法性证明的验证结果,验证通过时,将验证结果和/或响应中的业务相关数据,如指纹支付时的交易订单信息发送给业务服务器。当业务请求为业务执行请求时,业
务执行请求对应的业务执行响应中包含使用业务私钥生成的签名信息,使用业务注册时保存的或在业务响应中附带的业务公钥验证所述业务私钥生成的签名信息,来证明业务执行请求对应的业务执行响应与所述业务注册请求对应的业务注册响应是来自同一终端。
本实施例中,信任机制建立在业务服务器信任认证中心,进而信任认证中心认证过的终端,信任终端中的本地授权凭证;所以在终端合法性证明验证时需要进行两层的验签:首先根据认证中心公钥验证认证中心签名的本地授权凭证,然后根据凭证中的本地授权公钥验证终端使用本地授权私钥生成的签名信息进而确认终端合法性。
在图2所示的终端中本地授权凭证的使用方法中,认证中心下发用于提供终端合法性证明的凭证给终端,使终端可以在本地提供终端的合法性证明,无需每次需要提供终端的合法性证明时均去认证中心,从而可以减小终端的资源消耗,缩短业务操作时间,可以提高业务请求处理的效率。
基于图1所示的系统架构,请参阅图3,如图3所示,图3是一种本地授权凭证的生成方法的流程示意图,其中,该本地授权凭证的生成方法是从统一身份认证客户端1012(统一身份认证可信应用1013)和认证中心103的角度来描述的,如图4所示,该本地授权凭证的生成方法包含以下步骤:
S301、统一身份认证客户端(统一身份认证可信应用)向认证中心发起本地授权凭证申请。
具体地,可以是在未接收到业务注册请求之前,预先执行该步骤,以获取并在终端保存本地授权凭证,也可以是在业务注册或者业务执行过程中,当终端本地没有本地授权凭证,或者终端本地保存的本地授权凭证超出有效期,或者终端本地保存的本地授权凭证不满足业务类型要求,终端需要去认证中心更新本地授权凭证时,执行该步骤。
S302、统一身份认证客户端(统一身份认证可信应用)搜集设备信息。
具体地,所述设备信息可以是在认证中心接收到所述本地授权凭证申请时,要求所述统一身份认证客户端(统一身份认证可信应用)提供的,也可以是认证中心与统一身份认证客户端(统一身份认证可信应用)预先约定好的。所述设备信息可以包含设备ID、厂商标识、设备存储环境等。其中,所述本地授权密钥对规格要求可以是密钥长度、加密算法等等。其中,认证中心接收到所述本地授权凭证申请时,认证中心可以同时下发用于标识本次本地授权凭证生成的challenge信息和本地授权密钥规格要求给统一身份认证客户端(统一身份认证可信应用)。
S303、统一身份认证客户端(统一身份认证可信应用)生成本地授权密钥对。
具体地,若所述认证中心下发了所述本地授权密钥对规格要求,该本地授权密钥对按照所述本地授权密钥对规格要求生成所述本地授权密钥对,并将其中的本地授权私钥安全保存,可以保存在安全储存环境,例如TEE或SE中,或者其他可能的安全存储环境中。后续可以通过该私钥生成的签名和凭证来构造终端合法性证明。
S304、统一身份认证客户端(统一身份认证可信应用)生成本地授权凭证申请信息。
具体地,所述本地授权凭证申请信息可以包括:所述本地授权公钥、设备信息或设备身份信息、使用原始设备制造商私钥生成的签名信息,所述使用原始设备制造商私钥生成的签名信息用于向认证中心证明所述终端合法性,其中,所述原始设备制造商私钥为预先
生成并存储在安全存储环境中的。若所述认证中心下发了challenge信息给所述统一身份认证客户端(统一身份认证可信应用),则所述本地授权凭证申请信息还可以包括:所述challenge信息。
S305、统一身份认证客户端(统一身份认证可信应用)将本地授权凭证申请信息发送给认证中心。
S306、认证中心生成本地授权凭证。
具体地,认证中心生成本地授权凭证还可以包括,验证所述本地授权凭证申请信息,具体过程为:验证challenge信息,并通过认证中心预存的原始设备制造商公钥验证本地授权凭证申请信息中的终端使用原始设备制造商私钥生成的签名信息,进而确定所述终端合法性。
在本地授权凭证申请信息验证通过后,认证中心可以根据设备信息确定要生成的本地授权凭证的有效期。具体过程可以如下:由所述设备信息确定对应的设备安全等级,再根据所述设备安全等级确定所述有效期。所述设备信息为所述终端向所述认证中心发送的用于获取所述第一本地授权凭证的请求信息或者所述第二本地授权凭证请求信息中携带的,或者,所述设备信息为所述认证中心根据设备身份信息在数据库中查找的,所述设备身份信息为所述终端向所述认证中心发送的用于获取所述第一本地授权凭证或者所述第二本地授权凭证的请求信息中携带的,可以是设备ID、设备型号等。其中,若终端本地未保存本地授权凭证,则所述发送给认证中心的第一本地授权凭证的请求信息或者所述发送给认证中心的第二本地授权凭证请求信息是指本地授权凭证的请求信息;若终端本地保存的本地授权凭证超出有效期,或者终端本地保存的本地授权凭证不满足业务类型要求,所述第一本地授权凭证是指终端中当前不满足要求的本地授权凭证,所述第二授权凭证是指认证中心根据本次申请信息重新生成的本地授权凭证。
进一步地,认证中心也可以设立自己的设备安全等级评估体系,根据所述终端设备信息,可以是终端的储存环境,确定该终端的设备安全等级,该设备安全等级可以用来确定本地授权凭证的有效期,也可以确认本地授权凭证的凭证安全等级。
例如,参见表3及步骤S203中对表3相应的描述。
其中,本地授权凭证可以包括有效期、本地授权公钥、使用认证中心私钥生成的签名信息,还可以包括所述设备信息,还可以包含凭证的安全等级等。
S307、认证中心将所述本地授权凭证发送给所述统一身份认证客户端(统一身份认证可信应用)。
具体地,所述本地授权凭证保存在终端的安全储存环境中,例如可TEE或SE中,或者其他可能的安全存储环境中。
基于图1所示的系统架构,请参阅图4,图4是本发明实施例公开的一种终端中本地授权凭证的使用方法的流程示意图,其中,该终端中本地授权凭证的使用方法是从应用客户端1011、统一身份认证客户端1012(统一身份认证可信应用1013)、业务服务器1021和认证服务器1022的角度来描述的,其中,统一身份认证客户端1012(统一身份认证可信应用1013)对应的步骤可以是统一身份认证客户端执行的,也可以是统一身份认证可信应用执行的。如图3所示,该终端中本地授权凭证的使用方法可以包含以下步骤。
S401、应用客户端向业务服务器发起业务注册。
具体地,用户可以在终端中通过应用客户端发起业务注册,业务注册可以是某应用的指纹服务、人脸服务等,例如用户可以在终端某应用客户端中开通“指纹登陆”、“指纹支付”功能,即触发相应的指纹服务的业务注册。
S402、业务服务器生成业务类型要求。
具体地,业务类型要求为业务服务器根据自身业务需求生成的。
在一个实施例中,当业务服务器决定所述业务需要提供终端合法性证明时,所述业务类型要求包含风险管理要求,所述风险管理要求为业务服务器针对所述本地授权凭证生成的,用于确保终端根据本地授权凭证提供的终端合法性证明满足业务的需求。业务服务器可以根据业务的敏感程度、业务的安全需求、业务服务器风险管理系统对当前交易的风险分析结果等至少一种因素,业务的敏感程度方面,具体可以是否涉及到钱款交易、涉及到的钱款交易的金额、是否符合交易习惯等划分不同的等级,业务的敏感程度方面,业务服务器可以将不同的业务请求按照业务的敏感程度或者业务的安全等级进行分类,并为不同类别的业务分配不同的风险管理要求。另一方面,业务类型要求可以包含风险管理要求,也可以包含其他要求,如应用客户端版本要求等,所述风险管理要求包含风险管理参数和风险管理阈值,风险管理要求是针对所述本地授权凭证中的参数类型生成的,如有效期、凭证的安全等级等。
S403、业务服务器向认证服务器发送包含业务类型要求的业务注册通知。
具体地,业务服务器接收应用客户端发送的业务注册,并在接收到业务注册时,向认证服务器发送业务注册通知。
S404、认证服务器生成业务注册请求并将所述业务注册请求发送给业务服务器。
具体地,所述业务注册请求包含所述业务类型要求,认证服务器在接收到业务注册通知时,生成业务注册请求,用于请求终端按照指定流程完成相应业务的注册,该指定流程包括终端在注册过程中提供终端合法性证明。认证服务器保存有相应的认证服务器证书,认证服务器生成的业务注册请求中包含所述认证服务器证书,用于证明所述认证服务器的合法性,所述业务注册请求还包括用于标识本次注册的challenge信息和/或使用认证服务器私钥生成的签名信息。其中,业务注册请求为业务请求的一种。
S405、业务服务器将业务注册请求发送给统一身份认证客户端(统一身份认证可信应用)。
具体地,认证服务器经由业务服务器、应用客户端将业务注册请求发送给统一身份认证客户端(统一身份认证可信应用),此时,若所述业务注册流程需要采集用户的信息,终端可以通过应用客户端通知用户输入生物信息,如指纹、语音、图像等,终端接收并保存用户输入的信息。
S406、统一身份认证客户端(统一身份认证可信应用)检测业务注册请求的合法性。
具体地,统一身份认证可信应用可以提取安全存储环境中预置的CRL和认证机构根证书,认证服务器证书包含认证服务器公钥,统一身份认证客户端(统一身份认证可信应用)检测业务注册请求的合法性具体如下:通过查找所述认证服务器是否在CRL中,来确认所述认证服务器是否被吊销,并通过认证机构根证书验证服务器证书,以上两次验证通过后
说明业务注册请求来自合法的认证服务器。
S407、统一身份认证客户端(统一身份认证可信应用)生成非对称业务密钥对。
具体地,该非对称业务密钥对是针对所述业务注册请求生成的,业务私钥可以保存在终端的安全储存环境中,例如TEE或者SE中,或者其他可能的安全存储环境中。
S408、统一身份认证客户端(统一身份认证可信应用)检测本地是否有本地授权凭证,以及检测所述本地授权凭证是否在有效期内。
具体地,业务注册请求要求提供终端合法性证明,业务注册请求包含指示信息,终端根据指示信息确定需要提供终端合法性证明,则终端首先尝试获取储存在终端的本地授权凭证,在本地构造所述终端合法性证明。本地授权凭证可以是在终端首次执行业务注册时,触发向认证中心发起本地授权凭证申请后,由认证中心生成并下发的;也可以是未进行业务注册之前,终端向认证中心申请的,本实施例不作限定。若当前终端中已保存有本地授权凭证,则检测所述本地授权凭证是否在有效期内。其中,本地授权凭证可以包括有效期、本地授权公钥、使用认证中心私钥生成的签名信息,也可以包括设备信息或者设备身份信息,其中,有效期可以是所述认证中心根据所述设备信息对应的设备安全等级生成的。
S409、统一身份认证客户端(统一身份认证可信应用)检测所述本地授权凭证是否满足所述业务类型要求。
具体的,本实施例中,当所述终端本地保存有本地授权凭证,且所述本地授权凭证在有效期内,说明所述终端能够在本地提供所述终端合法性证明。之后统一身份认证客户端(统一身份认证可信应用)还需要根据业务注册请求中的业务类型要求,来判断所述终端当前获取的本地授权凭证能否满足业务的要求,进而判断能否使用当前获取的本地授权凭证来构造所述终端合法性证明。
当所述本地授权凭证满足所述业务类型要求,表明可以使用所述本地授权凭证构造所述终端合法性证明,则执行步骤S410;当所述终端本地没有本地授权凭证,或者,所述本地授权凭证超出有效期,或者,所述本地授权凭证不满足所述业务类型要求时,表明终端本地没有本地授权凭证或者当前本地的本地授权凭证不能用来构造本次业务注册请求对应的业务注册响应,则需要重新去认证中心申请更新本地授权凭证,即执行步骤S301-S307以得到更新的本地授权凭证,通过更新的本地授权凭证来构造本次业务注册请求对应的业务注册响应。
S410、统一身份认证客户端(统一身份认证可信应用)生成业务注册响应。
具体地,在确定可以使用本地授权凭证构造终端合法性证明后,生成包含终端合法性证明的业务响应:具体包括三部分,challenge信息;包含业务公钥、设备ID、其他业务数据,如生物信息哈希值等的业务数据;包括本地授权凭证和使用本地授权私钥生成的签名信息的终端合法性证明。以上信息构成的业务注册响应可以使用认证服务器证书中的认证服务器公钥加密发送给所述认证服务器。
S411、统一身份认证客户端(统一身份认证可信应用)将业务注册响应发送给认证服务器。
具体地,业务注册响应是经由应用客户端和业务服务器发送给所述认证服务器的。
S412、认证服务器验证业务注册响应的有效性。
具体地,验证业务注册响应的有效性的过程可以为:使用认证服务器私钥解密业务注册响应中的认证服务器公钥加密信息,验证认证服务器的challenge信息,来确认所述业务注册请求与所述业务注册响应是一次业务过程;使用认证服务器预先存储的认证中心公钥验证本地授权凭证中的认证中心私钥签名,验证通过后,获取本地授权凭证中的本地授权公钥来验证业务注册响应中的终端使用本地授权私钥生成的签名信息,通过两次验签来验证所述终端合法性证明。通过则表明业务注册响应来自一台经过认证中心验证过的合法终端,因此注册过程可以继续执行,认证服务器保存业务公钥,并将验证结果和业务有关数据发送给业务服务器,使其将注册信息落地,向终端发送注册成功的通知。
S413、应用客户端向业务服务器发起业务执行。
具体地,当业务注册成功后,则在终端中可以发起同一业务的执行过程,若该业务注册未成功,则不能实现该业务的执行过程,例如,在某应用中需指纹注册成功后,才能有实现指纹业务过程。用户可以在终端中通过应用客户端发起业务执行,业务执行可以是某应用的指纹解锁、人脸解锁和指纹支付等,例如用户可以在终端某应用客户端中点击“人脸解锁”按键,即触发业务执行。
S414、业务服务器决定当次业务是否需要提供终端合法性证明。
具体地,业务服务器可以根据业务执行的类型决定是否需要终端合法性证明,也可以是应用客户端根据业务服务器预设规则决定是否需要终端合法性证明,例如,如果不涉及转账等敏感业务,则业务服务器决定本次业务不需要提供终端合法性证明,或者根据业务服务器的风险控制系统对本次业务进行分析,来决定是否需要提供合法性证明,这里业务服务器也可以针对不同的业务执行类型设立列表,分类对是否需要提供终端合法性证明的业务执行类型进行管理。当接收到业务执行时,直接通过列表进行查询获得该业务执行是否需要提供终端的终端合法性证明。
如果当次业务服务器判断业务需要提供终端合法性证明,还需参照S402生成相应的业务类型要求。本实施例中,业务类型要求为业务服务器生成的,用于确保业务响应中的根据本地授权凭证构造的终端合法性证明能够满足当次业务的风险管理需求。
例如,参见表1和表2及步骤S203中对表1和表2相应的描述。
可选的,所述业务类型要求可以由业务服务器预置在所述应用客户端中,当应用客户端检测到业务请求中要求提供终端合法性证明时,将所述业务类型要求加入业务请求中发送给统一身份认证客户端(统一身份认证统一身份认证可信应用)。
S415、认证服务器生成业务执行请求并发送给所述业务服务器。
具体地,当业务执行需要提供终端合法性证明时,认证服务器生成业务执行请求,业务执行请求可以包含业务类型要求,也可以包含指示需要提供终端合法性证明指示信息,其中,所述指示信息为根据至少一个预设字段确定的或者根据所述业务类型要求中的至少一个字段确定的。所述业务执行请求还可以包括认证服务器证书、使用认证服务器私钥生成的签名信息和用于标识本次业务执行的challenge信息以及业务相关信息,如指纹支付时的交易订单信息,也可以包含其他相关信息,本实施例不作限定。
S416、业务服务器将业务执行请求发送给统一身份认证客户端(统一身份认证可信应用)。
具体地,认证服务器经由业务服务器、应用客户端将业务执行请求发送给统一身份认证客户端(统一身份认证可信应用),此时,若所述业务执行需要验证用户生物信息,终端可以通过应用客户端通知用户输入生物信息,如指纹、语音、图像等,并与业务注册时用户输入的信息进行比对,获得本地生物验证结果。进一步地,业务类型要求和指示信息可以由应用客户端添加,然后将要求提供终端合法性证明的业务执行请求发送给统一身份认证客户端。
S417、统一身份认证客户端(统一身份认证可信应用)检测业务执行请求的合法性。
具体地,检测业务执行请求的合法性包括:通过查找所述认证服务器是在CRL中,来确认所述认证服务器是否被吊销,并通过认证机构根证书验证服务器证书,以上两次验证通过后说明业务注册请求来自合法的服务器。
S418、统一身份认证客户端(统一身份认证可信应用)检测本地是否保存有本地授权凭证,若有,则检测本地授权凭证是否在有效期内。
具体地,在要求提供终端合法性证明的情况下,若终端本地未保存本地授权凭证,则可执行步骤S301-S307,以得到认证中心下发的本地授权凭证,并执行后续步骤;若终端本地保存有本地授权凭证,则获取本地授权凭证中的有效期,并判断当前的本地授权凭证是否在有效期之内,若是,则执行步骤S419,若当前的本地授权凭证超出有效期,则执行步骤S301-S307,以重新获取认证中心下发的本地授权凭证,实现本地授权凭证的更新,并执行后续步骤。
例如,本地授权凭证中的有效期为三个月内有效,统一身份认证客户端(统一身份认证可信应用)检测到所述本地授权凭证是四个月前生成的,则表明本地授权凭证已经超出有效期,可执行步骤S301-S307,更新本地授权凭证并执行后续步骤,如果检测到所述本地授权凭证是两个月前生成的,则表明所述本地授权凭证在有效期内,所述终端能够在本地提供所述终端合法性证明,执行后续步骤。
S419、统一身份认证客户端(统一身份认证可信应用)检测本地授权凭证是否满足业务类型要求。
具体地,当业务类型要求包含风险管理要求时,可以获取本地授权凭证中的参数,如获取本地授权凭证中的有效期和凭证的安全等级等,将风险管理要求与本地授权凭证中的参数进行比对,来确定本地授权凭证是否满足业务类型要求。例如,以表2为例,假如当前本地授权凭证的有效期为3个月,是2个月之前生成的,凭证安全等级为5级安全,当业务执行请求为指纹支付(小额)时,此时该凭证对应的业务类型要求为“3个月内生成的本地授权凭证有效”,则可判断该本地授权凭证满足业务类型要求中的风险管理要求,本次业务能够使用该凭证构造所述终端合法性证明;当业务执行请求为指纹支付(大额)时,此时该凭证对应的业务类型要求为“1个月内生成的本地授权凭证有效”,则可判断该本地授权凭证不满足业务类型要求中的风险管理要求,因此本次业务无法使用该凭证来构造所述终端合法性证明,因此需要执行步骤S301-S307,更新本地授权凭证,并使用新的本地授权凭证来构造满足业务类型要求的终端合法性证明。
S420、统一身份认证客户端(统一身份认证可信应用)生成业务执行响应。
具体地,业务执行响应可以包括:challenge信息;包含生物特征比对结果、使用业务
私钥生成的签名信息的业务相关数据、业务相关数据还可以包括生物特征hash、业务公钥的;包含本地授权凭证和使用本地授权私钥生成的签名的终端合法性证明。其中,生物特征比对结果为业务执行阶段通过应用客户端采集的生物信息和业务注册阶段本地保存的生物信息进行比对得到的结果。所述业务执行响应还可以包括本次生物特征hash,进一步地,还可以增加标识信息,对应指示信息,标识信息用于说明业务执行响应里面包含了本地构造的终端合法性证明。业务执行响应由所述认证服务器证书中的认证服务器公钥加密。
S421、统一身份认证客户端(统一身份认证可信应用)将业务执行响应发送给认证服务器。
具体地,业务执行响应是经由应用客户端和业务服务器发送给所述认证服务器的。
S422、认证服务器验证业务执行响应的有效性。
具体地,验证业务执行响应的有效性的过程为:使用认证服务器私钥解密业务执行响应中的认证服务器公钥加密信息,验证认证服务器的challenge信息,来确认所述业务执行请求与所述业务执行响应是一次业务过程;使用认证服务器预先存储的认证中心公钥验证本地授权凭证中的认证中心私钥生成的签名信息,验证通过后,获取本地授权凭证中的本地授权公钥来验证业务执行响应中的使用本地授权私钥生成的签名信息,通过后说明终端合法性证明有效,可选的,还可以再次对业务类型要求中的风险管理要求和所述终端合法性证明进行比对;获取业务注册成功时,保存在业务服务器中的,或者附带在业务执行响应中的业务公钥,验证使用业务私钥生成的签名信息,通过则表明业务执行响应合法,将验证结果告知业务服务器,并在业务服务器执行对应业务的后续流程。如业务执行是指纹登陆时,验完业务私钥生成的签名,确定响应中验证结果有效后,通知业务服务器执行登陆操作;再例如,指纹支付时,验完业务私钥生成的签名,确定响应中的验证结果和订单信息无误后,执行支付操作。
其中,认证服务器还可以根据标识信息确定本次业务执行是否触发了终端合法性证明,如可以通过预设字段,或业务响应中终端合法性证明部分或全部的数据段作为标识信息。其中,该标识步骤可以是统一身份认证客户端或者应用客户端生成的。
在图4所示的终端中本地授权凭证的使用方法中,认证中心下发用于提供终端合法性证明的凭证给终端,使终端可以在本地提供终端的合法性证明,通过本地保存的凭证即可实现证明终端合法,无需每次执行业务时均去认证中心,从而可以减小终端的资源消耗,缩短业务操作时间,可以提高业务请求处理的效率。
基于图1所示的系统架构,请参阅图5,图5是本发明实施例公开的一种本地授权凭证的使用装置的结构示意图。如图4所示,该装置可以包括:
本地授权凭证获取模块501,用于在接收到业务请求时,获取终端中的本地授权凭证,所述业务请求要求提供所述终端合法性证明,所述本地授权凭证是由所述认证中心授权并保存在所述终端中能够提供所述终端合法性证明的凭证;
业务响应发送模块502,用于根据所述本地授权凭证以及所述业务请求,生成并发送与所述业务请求对应的业务响应,所述业务响应包含所述终端合法性证明。
作为一种可能的实施方式,所述终端合法性证明包含使用本地授权私钥生成的签名信息和所述本地授权凭证,所述本地授权私钥为所述终端在向所述认证中心发送用于获取所
述本地授权凭证的请求信息之前生成并保存在本地的。
作为一种可能的实施方式,所述业务请求为业务注册请求和业务执行请求中的一种,当所述业务请求为所述业务注册请求时,所述业务响应还包括业务公钥,当所述业务请求为所述业务执行请求时,所述业务响应还包括使用业务私钥生成的签名信息,所述业务公钥和所述业务私钥为所述终端接收到所述业务执行请求对应的业务注册请求时生成的,所述使用业务私钥生成的签名信息用于证明业务执行响应是由发送业务注册响应的所述终端发送的,所述业务执行响应为所述业务执行请求对应的业务响应,所述业务注册响应为所述业务注册请求对应的业务响应。
作为一种可能的实施方式,所述业务响应发送模块502,具体用于,如果所述终端内存在第一本地授权凭证,且所述第一本地授权凭证在有效期内,且所述第一本地授权凭证满足所述业务请求的业务类型要求,使用所述第一本地授权凭证构造所述终端合法性证明,以生成所述业务请求对应的业务响应,并发送所述业务响应。
作为一种可能的实施方式,所述业务请求包含所述业务类型要求,所述业务类型要求包含风险管理要求,所述风险管理要求为业务服务器针对所述第一本地授权凭证生成的,所述业务请求为所述业务服务器发送的。
作为一种可能的实施方式,所述业务响应发送模块502,具体用于,如果所述终端内不存在第一本地授权凭证,或如果所述终端内的所述第一本地授权凭证超出有效期,或如果所述第一本地授权凭证不满足所述业务请求的业务类型要求,向所述认证中心发送用于获取第二本地授权凭证的请求信息,以使所述认证中心生成所述第二本地授权凭证;
接收并保存所述第二本地授权凭证;
使用所述第二本地授权凭证构造所述业务请求对应的业务响应,并发送所述业务响应。
作为一种可能的实施方式,所述用于获取第二本地授权凭证的请求信息包括设备信息或者设备身份信息中的至少一种,原始设备制造商签名,本地授权公钥,以使所述认证中心根据所述设备信息或所述设备身份信息查找存储的原始设备制造商公钥验证所述原始设备制造商签名,生成所述第二本地授权凭证,所述本地授权公钥为所述本地授权私钥对应的公钥,所述设备信息和所述设备身份信息为所述认证中心在接收到所述第二本地授权凭证的请求信息时,要求所述终端提供的信息,或者所述认证中心预先与所述终端协商的信息。
作为一种可能的实施方式,所述第一本地授权凭证和所述第二本地授权凭证包括有效期、所述本地授权公钥和使用认证中心私钥生成的签名信息,所述认证中心私钥为所述认证中心生成并保存用于生成所述本地授权凭证的。
作为一种可能的实施方式,所述第一本地授权凭证和所述第二本地授权凭证还包括凭证安全等级,所述凭证安全等级为所述认证中心根据所述设备信息确定的,所述凭证安全等级为所述业务类型要求的一种。
作为一种可能的实施方式,所述本地授权公钥为所述终端在向所述认证中心发送用于获取所述第一本地授权凭证的请求信息之前生成并保存在本地的,或者所述终端在向所述认证中心发送用于获取所述第二本地授权凭证的请求信息之前生成并保存在本地的。
作为一种可能的实施方式,所述有效期为所述认证中心根据所述设备的安全等级确定的,所述设备的安全等级由所述设备信息确定的,所述设备信息为所述终端向所述认证中心发送的用于获取所述第一本地授权凭证的或者所述第二本地授权凭证请求信息中携带的,或者,所述设备信息为所述认证中心根据设备身份信息在数据库中查找的,所述设备身份信息为所述终端向所述认证中心发送的用于获取所述第一本地授权凭证或者所述第二本地授权凭证的请求信息中携带的。
作为一种可能的实施方式,所述装置还包括指示信息检测模块503,用于检测所述业务请求中是否包含用于指示提供所述终端合法性证明的指示信息,如果所述业务请求中包含所述用于指示提供所述终端合法性证明的指示信息,本地授权凭证获取模块501执行所述获取所述终端中的本地授权凭证的步骤。
作为一种可能的实施方式,所述指示信息为根据至少一个预设字段确定的或者根据所述业务类型要求中的至少一个字段确定的。
基于图1所示的系统架构,请参阅图6,如图6所示,图6本发明实施例公开的一种运行上述本地授权凭证的使用方法的终端的结构示意图。如图6所示,该终端可以包括:处理器601、存储器602、通信接口603和总线604。其中:
总线604,用于实现这些组件之间的连接;
存储器602中存储有一组程序代码,处理器601用于调用通信接口603执行以下操作:
在接收到业务请求时,获取终端中的本地授权凭证,所述业务请求要求提供所述终端合法性证明,所述本地授权凭证是由所述认证中心授权并保存在所述终端中能够提供所述终端合法性证明的凭证;
处理器601还用于调用存储器602中存储的程序代码执行以下操作:
根据所述本地授权凭证以及所述业务请求,生成与所述业务请求对应的业务响应,所述业务响应包含所述终端合法性证明;
通信接口603,还用于发送所述业务响应。
作为一种可能的实施方式,所述终端合法性证明包含使用本地授权私钥生成的签名信息和所述本地授权凭证,所述本地授权私钥为所述终端在向所述认证中心发送用于获取所述本地授权凭证的请求信息之前生成并保存在本地的。
作为一种可能的实施方式,所述业务请求为业务注册请求和业务执行请求中的一种,当所述业务请求为所述业务注册请求时,所述业务响应还包括业务公钥,当所述业务请求为所述业务执行请求时,所述业务响应还包括使用业务私钥生成的签名信息,所述业务公钥和所述业务私钥为所述终端接收到所述业务执行请求对应的业务注册请求时生成的,所述使用业务私钥生成的签名信息用于证明业务执行响应是由发送业务注册响应的所述终端发送的,所述业务执行响应为所述业务执行请求对应的业务响应,所述业务注册响应为所述业务注册请求对应的业务响应。
作为一种可能的实施方式,处理器601根据所述本地授权凭证以及所述业务请求,生成与所述业务请求对应的业务响应具体包括:
如果所述终端内存在第一本地授权凭证,且所述第一本地授权凭证在有效期内,且所述第一本地授权凭证满足所述业务请求的业务类型要求,使用所述第一本地授权凭证构造
所述终端合法性证明,以生成所述业务请求对应的业务响应。
作为一种可能的实施方式,所述业务请求包含所述业务类型要求,所述业务类型要求包含风险管理要求,所述风险管理要求为业务服务器针对所述第一本地授权凭证生成的,所述业务请求为所述业务服务器发送的。
作为一种可能的实施方式,处理器601根据所述本地授权凭证以及所述业务请求,生成与所述业务请求对应的业务响应具体包括:
作为一种可能的实施方式,如果所述终端内不存在第一本地授权凭证,或如果所述终端内的所述第一本地授权凭证超出有效期,或如果所述第一本地授权凭证不满足所述业务请求的业务类型要求,所述终端向所述认证中心发送用于获取第二本地授权凭证的请求信息,以使所述认证中心生成所述第二本地授权凭证;
所述终端接收并保存所述第二本地授权凭证;
所述终端使用所述第二本地授权凭证构造所述业务请求对应的业务响应,并发送所述业务响应。
作为一种可能的实施方式,所述用于获取第二本地授权凭证的请求信息包括设备信息或者设备身份信息中的至少一种,使用原始设备制造商私钥生成的签名信息,本地授权公钥,以使所述认证中心根据所述设备信息或者所述设备身份信息查找存储的原始设备制造商公钥验证所述使用原始设备制造商私钥生成的签名信息,生成所述第二本地授权凭证,所述本地授权公钥为所述本地授权私钥对应的公钥,所述设备信息和所述设备身份信息为所述认证中心在接收到所述第二本地授权凭证的请求信息时,要求所述终端提供的信息,或者所述认证中心预先与所述终端协商的信息。
作为一种可能的实施方式,所述第一本地授权凭证和所述第二本地授权凭证包括有效期、所述本地授权公钥和使用认证中心私钥生成的签名信息,所述认证中心私钥为所述认证中心生成并保存用于生成所述本地授权凭证的。
作为一种可能的实施方式,所述第一本地授权凭证和所述第二本地授权凭证还包括凭证安全等级,所述凭证安全等级为所述认证中心根据所述设备信息确定的,所述凭证安全等级为所述业务类型要求的一种。
作为一种可能的实施方式,所述本地授权公钥为所述终端在向所述认证中心发送用于获取所述第一本地授权凭证的请求信息之前生成并保存在本地的,或者所述终端在向所述认证中心发送用于获取所述第二本地授权凭证的请求信息之前生成并保存在本地的。
作为一种可能的实施方式,有效期为所述认证中心根据所述设备的安全等级确定的,所述设备的安全等级由所述设备信息确定的,所述设备信息为所述终端向所述认证中心发送的用于获取所述第一本地授权凭证的或者所述第二本地授权凭证请求信息中携带的,或者,所述设备信息为所述认证中心根据设备身份信息在数据库中查找的,所述设备身份信息为所述终端向所述认证中心发送的用于获取所述第一本地授权凭证或者所述第二本地授权凭证的请求信息中携带的。
作为一种可能的实施方式,处理器601还用于调用存储器602中存储的程序代码执行以下操作:
检测所述业务请求中是否包含用于指示提供所述终端合法性证明的指示信息,如果所
述业务请求中包含所述用于指示提供所述终端合法性证明的指示信息,执行所述获取所述终端中的本地授权凭证的步骤。
作为一种可能的实施方式,所述指示信息为根据至少一个预设字段确定的或者根据所述业务类型要求中的至少一个字段确定的。
本发明实施例还公开了一种可读存储介质,该可读存储介质存储了装置和/或终端用于执行图2和3所示的本地授权凭证的使用方法的程序代码。
在上述实施例中,可以全部或部分的通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或者数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或半导体介质(例如固态硬盘Solid State Disk(SSD))等。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于可读存储介质中,存储介质可以包括:闪存盘、只读存储器(read-only memory,ROM)、随机存取器(random access memory,RAM)、磁盘或光盘等。
Claims (28)
- 一种终端中本地授权凭证的使用方法,其特征在于,包括:在所述终端接收到业务请求时,获取所述终端中的本地授权凭证,所述业务请求要求提供终端合法性证明,所述本地授权凭证是由认证中心授权并保存在所述终端中能够提供所述终端合法性证明的凭证;所述终端根据所述本地授权凭证以及所述业务请求,生成并发送与所述业务请求对应的业务响应,所述业务响应包含所述终端合法性证明。
- 如权利要求1所述的方法,其特征在于,所述终端合法性证明包含使用本地授权私钥生成的签名信息和所述本地授权凭证,所述本地授权私钥为所述终端在向所述认证中心发送用于获取所述本地授权凭证的请求信息之前生成并保存在本地的。
- 如权利要求1所述的方法,其特征在于,所述业务请求为业务注册请求和业务执行请求中的一种,当所述业务请求为所述业务注册请求时,所述业务响应还包括业务公钥,当所述业务请求为所述业务执行请求时,所述业务响应还包括使用业务私钥生成的签名信息,所述业务公钥和所述业务私钥为所述终端接收到所述业务执行请求对应的业务注册请求时生成的,所述使用业务私钥生成的签名信息用于证明业务执行响应是由发送业务注册响应的所述终端发送的,所述业务执行响应为所述业务执行请求对应的业务响应,所述业务注册响应为所述业务注册请求对应的业务响应。
- 如权利要求1所述的方法,其特征在于,所述终端根据所述本地授权凭证以及所述业务请求,生成并发送与所述业务请求对应的业务响应,具体包括:如果所述终端内存在第一本地授权凭证,且所述第一本地授权凭证在有效期内,且所述第一本地授权凭证满足所述业务请求的业务类型要求,使用所述第一本地授权凭证构造所述终端合法性证明,以生成所述业务请求对应的业务响应,并发送所述业务响应。
- 如权利要求4所述的方法,其特征在于,所述业务请求包含所述业务类型要求,所述业务类型要求包含风险管理要求,所述风险管理要求为业务服务器针对所述第一本地授权凭证生成的,所述业务请求为所述业务服务器发送的。
- 如权利要求2所述的方法,其特征在于,所述终端根据本地授权凭证以及所述业务请求,生成并发送与所述业务请求对应的业务响应,具体包括:如果所述终端内不存在第一本地授权凭证,或如果所述终端内的所述第一本地授权凭证超出有效期,或如果所述第一本地授权凭证不满足所述业务请求的业务类型要求,所述终端向所述认证中心发送用于获取第二本地授权凭证的请求信息,以使所述认证中心生成所述第二本地授权凭证;所述终端接收并保存所述第二本地授权凭证;所述终端使用所述第二本地授权凭证构造所述业务请求对应的业务响应,并发送所述业务响应。
- 如权利要求6所述的方法,其特征在于,所述用于获取第二本地授权凭证的请求信息包括设备信息或者设备身份信息中的至少一种,使用原始设备制造商私钥生成的签名信息,本地授权公钥,以使所述认证中心根据所述设备信息或者所述设备身份信息查找存储的原始设备制造商公钥验证所述使用原始设备制造商私钥生成的签名信息,生成所述第二 本地授权凭证,所述本地授权公钥为所述本地授权私钥对应的公钥,所述设备信息和所述设备身份信息为所述认证中心在接收到所述第二本地授权凭证的请求信息时,要求所述终端提供的信息,或者所述认证中心预先与所述终端协商的信息。
- 如权利要求7所述的方法,其特征在于,所述第一本地授权凭证和所述第二本地授权凭证包括有效期、所述本地授权公钥和使用认证中心私钥生成的签名信息,所述认证中心私钥为所述认证中心生成并保存在所述认证中心,所述认证中心私钥用于生成所述本地授权凭证。
- 如权利要求8所述的方法,其特征在于,所述第一本地授权凭证和所述第二本地授权凭证还包括凭证安全等级,所述凭证安全等级为所述认证中心根据所述设备信息确定的,所述凭证安全等级为所述业务类型要求的一种。
- 如权利要求8所述的方法,其特征在于,所述本地授权公钥为所述终端在向所述认证中心发送用于获取所述第一本地授权凭证的请求信息之前生成并保存在本地的,或者所述终端在向所述认证中心发送用于获取所述第二本地授权凭证的请求信息之前生成并保存在本地的。
- 如权利要求4至10任一项所述的方法,其特征在于,所述有效期为所述认证中心根据所述设备的安全等级确定的,所述设备的安全等级由所述设备信息确定的,所述设备信息为所述终端向所述认证中心发送的用于获取所述第一本地授权凭证的或者所述第二本地授权凭证请求信息中携带的,或者,所述设备信息为所述认证中心根据设备身份信息在数据库中查找的,所述设备身份信息为所述终端向所述认证中心发送的用于获取所述第一本地授权凭证或者所述第二本地授权凭证的请求信息中携带的。
- 如权利要求4至10任一项所述的方法,其特征在于,所述接收到业务请求时,所述方法还包括:检测所述业务请求中是否包含用于指示提供所述终端合法性证明的指示信息,如果所述业务请求中包含所述用于指示提供所述终端合法性证明的指示信息,执行所述获取所述终端中的本地授权凭证的步骤。
- 如权利要求12所述的方法,其特征在于,所述指示信息为根据至少一个预设字段确定的或者根据所述业务类型要求中的至少一个字段确定的。
- 一种本地授权凭证的使用装置,其特征在于,包括:本地授权凭证获取模块,用于在接收到业务请求时,获取终端中的本地授权凭证,所述业务请求要求提供终端合法性证明,所述本地授权凭证是由认证中心授权并保存在所述终端中能够提供所述终端合法性证明的凭证;业务响应发送模块,用于根据所述本地授权凭证以及所述业务请求,生成并发送与所述业务请求对应的业务响应,所述业务响应包含所述终端合法性证明。
- 如权利要求14所述的装置,其特征在于,所述终端合法性证明包含使用本地授权私钥生成的签名信息和所述本地授权凭证,所述本地授权私钥为所述终端在向所述认证中心发送用于获取所述本地授权凭证的请求信息之前生成并保存在本地的。
- 如权利要求14所述的装置,其特征在于,所述业务请求为业务注册请求和业务执 行请求中的一种,当所述业务请求为所述业务注册请求时,所述业务响应还包括业务公钥,当所述业务请求为所述业务执行请求时,所述业务响应还包括使用业务私钥生成的签名信息,所述业务公钥和所述业务私钥为所述终端接收到所述业务执行请求对应的业务注册请求时生成的,所述使用业务私钥生成的签名信息用于证明业务执行响应是由发送业务注册响应的所述终端发送的,所述业务执行响应为所述业务执行请求对应的业务响应,所述业务注册响应为所述业务注册请求对应的业务响应。
- 如权利要求14所述的装置,其特征在于,所述业务响应发送模块,具体用于,如果所述终端内存在第一本地授权凭证,且所述第一本地授权凭证在有效期内,且所述第一本地授权凭证满足所述业务请求的业务类型要求,使用所述第一本地授权凭证构造所述终端合法性证明,以生成所述业务请求对应的业务响应,并发送所述业务响应。
- 如权利要求17所述的装置,其特征在于,所述业务请求包含所述业务类型要求,所述业务类型要求包含风险管理要求,所述风险管理要求为业务服务器针对所述第一本地授权凭证生成的,所述业务请求为所述业务服务器发送的。
- 如权利要求15所述的装置,其特征在于,所述业务响应发送模块,具体用于,如果所述终端内不存在第一本地授权凭证,或如果所述终端内的所述第一本地授权凭证超出有效期,或如果所述第一本地授权凭证不满足所述业务请求的业务类型要求,向所述认证中心发送用于获取第二本地授权凭证的请求信息,以使所述认证中心生成所述第二本地授权凭证;接收并保存所述第二本地授权凭证;使用所述第二本地授权凭证构造所述业务请求对应的业务响应,并发送所述业务响应。
- 如权利要求19所述的装置,其特征在于,所述用于获取第二本地授权凭证的请求信息包括设备信息或者设备身份信息中的至少一种,使用原始设备制造商私钥生成的签名,本地授权公钥,以使所述认证中心根据所述设备信息或所述设备身份信息查找存储的原始设备制造商公钥验证所述原始设备制造商签名,生成所述第二本地授权凭证,所述本地授权公钥为所述本地授权私钥对应的公钥,所述设备信息和所述设备身份信息为所述认证中心在接收到所述第二本地授权凭证的请求信息时,要求所述终端提供的信息,或者所述认证中心预先与所述终端协商的信息。
- 如权利要求20所述的装置,其特征在于,所述第一本地授权凭证和所述第二本地授权凭证包括有效期、所述本地授权公钥和使用认证中心私钥生成的签名信息,所述认证中心私钥为所述认证中心生成并保存在所述认证中心,所述认证中心私钥用于生成所述本地授权凭证。
- 如权利要求21所述的装置,其特征在于,所述第一本地授权凭证和所述第二本地授权凭证还包括凭证安全等级,所述凭证安全等级为所述认证中心根据所述设备信息确定的,所述凭证安全等级为所述业务类型要求的一种。
- 如权利要求21所述的装置,其特征在于,所述本地授权公钥为所述终端在向所述认证中心发送用于获取所述第一本地授权凭证的请求信息之前生成并保存在本地的,或者所述终端在向所述认证中心发送用于获取所述第二本地授权凭证的请求信息之前生成并保存在本地的。
- 如权利要求17至23任一项所述的装置,其特征在于,所述有效期为所述认证中心根据所述设备的安全等级确定的,所述设备的安全等级由所述设备信息确定的,所述设备信息为所述终端向所述认证中心发送的用于获取所述第一本地授权凭证的或者所述第二本地授权凭证请求信息中携带的,或者,所述设备信息为所述认证中心根据设备身份信息在数据库中查找的,所述设备身份信息为所述终端向所述认证中心发送的用于获取所述第一本地授权凭证或者所述第二本地授权凭证的请求信息中携带的。
- 如权利要求17至23任一项所述的装置,其特征在于,所述装置还包括:指示信息检测模块,用于检测所述业务请求中是否包含用于指示提供所述终端合法性证明的指示信息,如果所述业务请求中包含所述用于指示提供所述终端合法性证明的指示信息,本地授权凭证获取模块执行所述获取所述终端中的本地授权凭证的步骤。
- 如权利要求25所述的装置,其特征在于,所述指示信息为根据至少一个预设字段确定的或者根据所述业务类型要求中的至少一个字段确定的。
- 一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1-13所述的方法。
- 一种终端,其特征在于,所述终端包括:处理器,存储器,通信接口和总线;所述处理器、通信接口、存储器通过所述总线相互的通信;所述通信接口,用于接收和发送数据;所述存储器,用于存储指令;所述处理器,用于调用所述存储器中的指令,执行如权利要求1-13任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611097424X | 2016-12-02 | ||
| CN201611097424 | 2016-12-02 | ||
| PCT/CN2017/078605 WO2018098950A1 (zh) | 2016-12-02 | 2017-03-29 | 终端中本地授权凭证的使用方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108604990A true CN108604990A (zh) | 2018-09-28 |
Family
ID=62242301
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780009062.0A Pending CN108604990A (zh) | 2016-12-02 | 2017-03-29 | 终端中本地授权凭证的使用方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108604990A (zh) |
| WO (1) | WO2018098950A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124404A (zh) * | 2021-11-12 | 2022-03-01 | 中国联合网络通信集团有限公司 | 一种数据处理方法、装置、服务器及存储介质 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110348195A (zh) * | 2019-05-24 | 2019-10-18 | 深圳壹账通智能科技有限公司 | 数据凭证授权方法、装置、计算机设备和存储介质 |
| CN111428281B (zh) * | 2020-03-25 | 2021-06-18 | 支付宝(杭州)信息技术有限公司 | Tee中可信程序的操作方法及装置 |
| CN113591057B (zh) * | 2021-08-05 | 2024-05-14 | 国民认证科技(北京)有限公司 | 生物特征离线身份识别方法及系统 |
| CN114124494B (zh) * | 2021-11-12 | 2023-06-30 | 中国联合网络通信集团有限公司 | 一种数据处理方法、装置、设备及存储介质 |
| CN114448725A (zh) * | 2022-03-22 | 2022-05-06 | 北京一砂信息技术有限公司 | 一种设备认证方法、系统及存储介质 |
| CN115150154B (zh) * | 2022-06-30 | 2023-05-26 | 深圳希施玛数据科技有限公司 | 用户登录认证方法及相关装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1866816A (zh) * | 2006-01-25 | 2006-11-22 | 华为技术有限公司 | 移动终端根证书的维护方法、系统及移动终端 |
| CN101127599A (zh) * | 2006-08-18 | 2008-02-20 | 华为技术有限公司 | 一种身份和权限认证方法及系统以及一种生物处理单元 |
| CN101136748A (zh) * | 2006-08-31 | 2008-03-05 | 普天信息技术研究院 | 一种身份认证方法及系统 |
| CN101291220A (zh) * | 2007-04-16 | 2008-10-22 | 华为技术有限公司 | 一种身份安全认证的系统、装置及方法 |
| CN101582765A (zh) * | 2009-06-29 | 2009-11-18 | 北京交通大学 | 绑定用户的便携式可信移动装置 |
| CN101872396A (zh) * | 2010-06-04 | 2010-10-27 | 北京播思软件技术有限公司 | 一种移动设备的多点安全证书库及安全认证方法 |
| US20120311686A1 (en) * | 2011-06-03 | 2012-12-06 | Medina Alexander A | System and method for secure identity service |
| CN103945374A (zh) * | 2013-01-18 | 2014-07-23 | 深圳市华营数字商业有限公司 | 一种基于pki技术的移动终端设备及用户认证的方法 |
| CN105281908A (zh) * | 2014-07-23 | 2016-01-27 | 阿里巴巴集团控股有限公司 | USB Key、USB Key数字证书写入方法和装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140325232A1 (en) * | 2013-04-30 | 2014-10-30 | Unisys Corporation | Requesting and storing certificates for secure connection validation |
| CN104703170B (zh) * | 2013-12-05 | 2017-04-12 | 华为终端有限公司 | 下载运营商的文件的方法及设备 |
| CN104901806B (zh) * | 2014-12-29 | 2016-06-22 | 腾讯科技(深圳)有限公司 | 一种虚拟资源处理方法、装置和系统 |
-
2017
- 2017-03-29 WO PCT/CN2017/078605 patent/WO2018098950A1/zh active Application Filing
- 2017-03-29 CN CN201780009062.0A patent/CN108604990A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1866816A (zh) * | 2006-01-25 | 2006-11-22 | 华为技术有限公司 | 移动终端根证书的维护方法、系统及移动终端 |
| CN101127599A (zh) * | 2006-08-18 | 2008-02-20 | 华为技术有限公司 | 一种身份和权限认证方法及系统以及一种生物处理单元 |
| CN101136748A (zh) * | 2006-08-31 | 2008-03-05 | 普天信息技术研究院 | 一种身份认证方法及系统 |
| CN101291220A (zh) * | 2007-04-16 | 2008-10-22 | 华为技术有限公司 | 一种身份安全认证的系统、装置及方法 |
| CN101582765A (zh) * | 2009-06-29 | 2009-11-18 | 北京交通大学 | 绑定用户的便携式可信移动装置 |
| CN101872396A (zh) * | 2010-06-04 | 2010-10-27 | 北京播思软件技术有限公司 | 一种移动设备的多点安全证书库及安全认证方法 |
| US20120311686A1 (en) * | 2011-06-03 | 2012-12-06 | Medina Alexander A | System and method for secure identity service |
| CN103945374A (zh) * | 2013-01-18 | 2014-07-23 | 深圳市华营数字商业有限公司 | 一种基于pki技术的移动终端设备及用户认证的方法 |
| CN105281908A (zh) * | 2014-07-23 | 2016-01-27 | 阿里巴巴集团控股有限公司 | USB Key、USB Key数字证书写入方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 祝跃飞,王磊: "密码学与通信安全基础", 《华中科技大学出版社》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114124404A (zh) * | 2021-11-12 | 2022-03-01 | 中国联合网络通信集团有限公司 | 一种数据处理方法、装置、服务器及存储介质 |
| CN114124404B (zh) * | 2021-11-12 | 2023-07-07 | 中国联合网络通信集团有限公司 | 一种数据处理方法、装置、服务器及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018098950A1 (zh) | 2018-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11172361B2 (en) | System and method of notifying mobile devices to complete transactions | |
| US20210400039A1 (en) | Biometric Identification And Verification Among Iot Devices And Applications | |
| US11870769B2 (en) | System and method for identifying a browser instance in a browser session with a server | |
| CN108777684B (zh) | 身份认证方法、系统及计算机可读存储介质 | |
| US20190281028A1 (en) | System and method for decentralized authentication using a distributed transaction-based state machine | |
| US20210006410A1 (en) | Method for providing virtual asset service based on decentralized identifier and virtual asset service providing server using them | |
| US9867043B2 (en) | Secure device service enrollment | |
| CN108604990A (zh) | 终端中本地授权凭证的使用方法及装置 | |
| US8214890B2 (en) | Login authentication using a trusted device | |
| KR102254499B1 (ko) | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 | |
| US9197420B2 (en) | Using information in a digital certificate to authenticate a network of a wireless access point | |
| KR101941227B1 (ko) | 신원확인 또는 부인방지가 가능한 fido 인증 장치 및 그 방법 | |
| US11539526B2 (en) | Method and apparatus for managing user authentication in a blockchain network | |
| KR20170041657A (ko) | 상이한 채널들을 통해 강한 인증 이벤트를 운반하기 위한 시스템 및 방법 | |
| CN106664208A (zh) | 使用安全传输协议建立信任的系统和方法 | |
| KR102192370B1 (ko) | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 | |
| KR102252086B1 (ko) | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 | |
| JP2016524248A (ja) | 身元情報の窃盗又は複製行為から保護する方法及びシステム | |
| US10536271B1 (en) | Silicon key attestation | |
| CN110278084B (zh) | eID建立方法、相关设备及系统 | |
| US11223489B1 (en) | Advanced security control implementation of proxied cryptographic keys | |
| US20240039729A1 (en) | Efficient transfer of authentication credentials between client devices | |
| CN113569210A (zh) | 分布式身份认证方法、设备访问方法及装置 | |
| WO2021107755A1 (en) | A system and method for digital identity data change between proof of possession to proof of identity | |
| KR101879843B1 (ko) | Ip 주소와 sms를 이용한 인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180928 |